2019 年、ある薬害事件が全米を震撼させた。製薬会社が鎮痛剤の副作用などを偽り過剰投与された患者が精神障害や中毒症状を引き起こし、2017 年には 4 万 7 千人が死亡したという事件だ。被害者の中にはティーンエージャーや新生児(母体の服用による中毒)もいた。
薬害の原因は、米パーデュー・ファーマ社が開発した「オキシコンティン」というオピオイド系の鎮痛剤とされる。オピオイド系鎮痛剤は以前から副作用や耐性により投与量が増えていくといった問題が指摘されていた。同社は 2010 年に改良版を開発し FDA の認可を得たが、副作用や依存性の情報について不適切な説明・宣伝がなされたとされる。
しかし、この薬害は、単なる製薬企業のコンプライアンスや市場競争の問題でなないとするセキュリティ研究者がいる。インディアナ大学ヘルス(非営利機関)のミッチェル・パーカー氏だ。CISSP の他セキュリティ研究の知見とキャリアを持ち、医療システムにも詳しい。パーカー氏は、被害がこれほど拡大した背景には EMR( Electronic Medial Record System )の不正操作や脆弱性があったからだという。本稿では、昨夏開催された Black Hat USA 2020 で行われた同氏の講演から、その要旨をお届けする。
● EMR とオピオイドクライシス
EMR は、日本では電子カルテに相当するシステムだ。患者の病歴、治療歴、処方歴、診察ログといった医療情報を記録管理する他、各種医療情報システムとの連携、保健レセプトや支払いシステムといった業務系システムとの連携インターフェイスも持つ。
システム機能としては、リモートデスクトップや VDI 機能(シトリックスのインターフェイス)やモバイルアプリ、PC アプリ、Web アプリなども持つ。認証には Microsoft の AD サーバーを利用するものが多いという。
この EMR がオピオイドクライシスではどのような役回りをしたのか。
薬害の原因は、米パーデュー・ファーマ社が開発した「オキシコンティン」というオピオイド系の鎮痛剤とされる。オピオイド系鎮痛剤は以前から副作用や耐性により投与量が増えていくといった問題が指摘されていた。同社は 2010 年に改良版を開発し FDA の認可を得たが、副作用や依存性の情報について不適切な説明・宣伝がなされたとされる。
しかし、この薬害は、単なる製薬企業のコンプライアンスや市場競争の問題でなないとするセキュリティ研究者がいる。インディアナ大学ヘルス(非営利機関)のミッチェル・パーカー氏だ。CISSP の他セキュリティ研究の知見とキャリアを持ち、医療システムにも詳しい。パーカー氏は、被害がこれほど拡大した背景には EMR( Electronic Medial Record System )の不正操作や脆弱性があったからだという。本稿では、昨夏開催された Black Hat USA 2020 で行われた同氏の講演から、その要旨をお届けする。
● EMR とオピオイドクライシス
EMR は、日本では電子カルテに相当するシステムだ。患者の病歴、治療歴、処方歴、診察ログといった医療情報を記録管理する他、各種医療情報システムとの連携、保健レセプトや支払いシステムといった業務系システムとの連携インターフェイスも持つ。
システム機能としては、リモートデスクトップや VDI 機能(シトリックスのインターフェイス)やモバイルアプリ、PC アプリ、Web アプリなども持つ。認証には Microsoft の AD サーバーを利用するものが多いという。
この EMR がオピオイドクライシスではどのような役回りをしたのか。
